Manchmal ist weniger mehr – Anforderungen an ein „angemessenes und wirksames“ Compliance-System

Es scheint, als seien die Gebete von Compliance Officern, Rechtsabteilungen und Geschäftsführern endlich erhört worden: Im Rahmen der diesjährigen Novelle des deutschen Kartellgesetzes (GWB) hat der Gesetzgeber im neuen § 81d Abs. 1 Nr. 4 GWB erstmals ausdrücklich festgelegt, dass bereits bestehende Compliance-Systeme bei der Festsetzung von Geldbußen sanktionsmindernd berücksichtigt werden können. Außerhalb des Kartellrechts bleibt Rechtssündern die Berücksichtigung von präventiven Compliance-Maßnahmen allerdings (vorerst) verwehrt, nachdem die Koalition des Verbandssanktionengesetz diesen Sommer zu Grabe getragen hat.

Keine Hilfestellung vom Gesetzgeber

Bei einem Blick in den neuen Paragraphen steigt zunächst die Vorfreude. Dort lesen wir, dass „vor der Zuwiderhandlung getroffene, angemessen und wirksame Vorkehrungen zu Vermeidung und Aufdeckung von Zuwiderhandlungen“ wohlwollende Berücksichtigung finden sollen.

„Angemessene und wirksame“ Compliance-Maßnahmen – das klingt machbar! Schließlich gibt es zahlreiche Anbieter von professionellen Compliance-Management-Systemen („CMS“), die sich nach dem neuesten ISO Standard 37301 zertifizieren lassen. Diverse Anbieter von CMS werben sogar damit, dass ein zertifiziertes System als „Beleg“ für die Einhaltung unternehmerischer Sorgfaltspflichten dienen würde. Damit sollten man doch auf der sicheren Seite sein...

Ein Blick in die Gesetzesbegründung bringt den euphorisierten Leser allerdings schnell wieder auf den harten Boden der Tatsachen zurück. Denn was „angemessene und wirksame“ Maßnahmen konkret auszeichnet, darüber schweigt sich der Gesetzgeber geflissentlich aus. Überdies will er den Zukauf eines Compliance-Programms oder von Zertifizierungen nicht als harte Benchmark akzeptieren, sondern hält diese sogar im Zweifel nicht für erforderlich. Vielmehr sei die „Angemessenheit“ von Compliance-Maßnahmen vom jeweiligen „Einzelfall“ abhängig, wobei „Art, Größe und Organisation eines Unternehmens, Gefährlichkeit des Unternehmensgegenstandes, Anzahl der Mitarbeiter, den zu beachtenden Vorschriften sowie dem Risiko ihrer Verletzung“ zu berücksichtigen seien. Außerdem sei bei einer Beteiligung von Leitungspersonen des Unternehmens an der Rechtsverletzung die „Wirksamkeit“ der Compliance-Maßnahmen ohnehin nicht gegeben.

Aber was sind denn nun „angemessene und wirksame“ Maßnahmen? Mit dem Zukauf oder der Zertifizierung eines CMS ist es offensichtlich nicht getan.

Hilfestellung kommt vom Bundeskartellamt

Wenn uns der Gesetzgeber nicht erhellen möchte, dann vielleicht die Behörde, in dessen Kompetenzbereich der neue § 81d GWB fällt. Nach ein wenig Stöbern auf der Seite des Bundeskartellamts wird man fündig: Anfang Juni hat das Amt Entwürfe eines Leitfadens und Praxishinweise für die vorzeitige Löschung aus dem Wettbewerbsregister veröffentlicht (hier). In den Praxishinweisen äußert sich die Behörde erstmals öffentlich zu den Anforderungen an einen effektiven Compliance-Standard – ein Novum! Die beiden Papiere, die derzeit noch einem Konsultationsprozess durchlaufen, beziehen sich zwar nicht direkt auf den neuen § 81d GWB. Dennoch bietet die Segelanweisung des Amtes, die eigentlich als Anleitung für den raschen Selbstreinigungsprozess im Sinne des Wettbewerbsregister gedacht ist, eine wertvolle Hilfestellung bei der Aufsetzung effektiver Compliance-Maßnahmen.

Der Anforderungskatalog des Bundeskartellamts

Zusammengefasst sieht das Bundeskartellamt folgende Maßnahmen für eine effektive Compliance als erforderlich an:

1. Risikoanalyse: Unternehmen müssen die Umstände, Risiken und Gründe, die zu früheren Rechtsbrüchen geführt haben, identifizieren und aufarbeiten. Lag es an der Organisations- oder Aufsichtsstruktur? Waren vielleicht das Geschäftsmodell oder unternehmerische Vorgaben dafür verantwortlich?
2. Anpassung der Organisations- und Aufsichtsstruktur: Nach Durchführung seiner Risikoanalyse muss das Unternehmen notwendige Anpassungen in seiner Organisations- und Aufsichtsstruktur vornehmen. Müssen z. B. Verfahrens- und Entscheidungsabläufe verändert werden (z. B. Einführung eines Vier-Augen-Prinzips oder einer Mitarbeiterrotation)? Sind Anpassungen am IT-System erforderlich?
3. Bekenntnis der Unternehmensleitung zu rechtskonformem Handeln: Die Unternehmensleitung (einschließlich des mittleren Managements) muss sich unmissverständlich zu rechtskonformen Handeln bekennen. Dieses Bekenntnis sollte nicht nur dokumentiert, sondern der Belegschaft auch klar kommuniziert werden. Es sollte auch die Klarstellung enthalten, dass die Maxime des rechtskonformen Handelns anderen Unternehmenszielen (wie z. B. Umsatzsteigerungen) stets übergeordnet ist.
4. Sorgfältige Auswahl, Schulung und Kontrolle der Unternehmensbeschäftigen: Das Unternehmen muss Mitarbeiter, die in identifizierten Risikobereichen arbeiten und Entscheidungsbefugnisse haben, sorgfältig auswählen, schulen und kontrollieren. Die Beschäftigten sollten über die einzuhaltenden Regeln ausreichend informiert werden (z. B. durch individuelle Einweisungen, Herausgabe von Richtlinien oder Schulungsmaßnahmen). Diese Informationsmaßnahmen sollten verständlich und praxisnah ausgestaltet und auf die individuelle Gefährdungslage des Unternehmens zugeschnitten sein. Mitarbeiter sollten regelmäßig an Schulungen teilnehmen und klare Anweisungen erhalten, wie sie sich bei Verdachtsfällen verhalten sollen. Dafür sollten konkrete Ansprechpartner benannt sein.
5. Hinweisgebersystem: Das Unternehmen muss sicherstellen, dass internen und externen Hinweisen auf etwaiges Fehlverhalten effektiv nachgegangen wird. Das Bundeskartellamt empfiehlt die Einrichtung eines vertraulichen Hinweisgebersystems. Es sollte klar kommuniziert werden, welche Konsequenzen „Whistleblower“ nicht zu befürchten haben und vor welchen Konsequenzen sie nicht geschützt werden können. Unternehmen sollten außerdem klare Regeln aufstellen, wie auf Hinweise reagiert wird.
6. Angemessene Ressourcen und Kompetenzen der verantwortlichen Personen: Die für die Einhaltung von Compliance-Maßnahmen verantwortlichen Personen müssen mit angemessenen Ressourcen und Kompetenzen ausgestattet sein. Verantwortliche Personen müssen in der Lage sein, ihre Funktionen unabhängig und durchsetzungskräftig wahrzunehmen (Stellung im Unternehmen, Fachkenntnisse, eingeräumte Kompetenzen, finanzieller Ausstattung). Es sollte stets eine unmittelbare Berichterstattung an die Unternehmensleitung erfolgen.
7. Anreize für die Beachtung der Compliance-Anforderungen und Ahndung von Zuwiderhandlungen: Das Unternehmen sollte rechtskonformes Verhalten von seinen Mitarbeitern aktiv einfordern. Dafür sollten Anreize für die Beachtung der Compliance-Anforderungen gesetzt werden. Zuwiderhandlungen müssen dagegen konsequent geahndet werden. Die Pflicht zur Beachtung rechtlicher Vorgaben sollte bereits in den Arbeitsverträgen verankert sein.
8. Evaluation und Anpassung der Compliance-Maßnahmen: Die erforderlichen Compliance-Maßnahmen können sich im Laufe der Zeit ändern. Das Unternehmen sollte daher bereits zum jetzigen Zeitpunkt Regeln zur Evaluation und Anpassung seiner Compliance-Maßnahmen aufsetzen.

Ein CMS „von der Stange“ reicht im Zweifel nicht

Der Katalog des Bundeskartellamts erscheint zunächst sehr umfassend. Allerdings betont das Amt in seinen Praxishinweisen auch, dass effektive Compliance nicht darin besteht, schematisch möglichst viele Maßnahmen umzusetzen. Es sieht in der Einrichtung oder Anpassung eines formalen CMS sogar die Gefahr, dass angesichts einer übereifrigen Regelungswut nicht diejenigen Maßnahmen umgesetzt werden, die eigentlich angebracht wären. CMS – auch nach dem neuen ISO Standard 37301 – können hilfreich sein. Sie sind aber kein „Allheilmittel“ und erst recht keine „sichere Bank“ gegen Bußgelder oder Sanktionen. Ein CMS „von der Stange“ ohne konkrete Anpassung auf das jeweilige Unternehmen wird das Bundeskartellamt im Zweifel nicht als „angemessenes und wirksames“ Compliance-System anerkennen.

Daher sollte jedes Unternehmen einen Evaluierungsprozess durchlaufen, der seine individuelle Situation und Risikoexposition berücksichtigt. Für eine solche individualisierte Risikoanalyse und Implementierung von Compliance-Maßnahmen bedarf es nicht nur hinreichender Rechtskenntnisse, sondern auch eines guten Verständnisses für die Abläufe und Strukturen im jeweiligen Unternehmen. Am Endes dieses Prozesses muss nicht immer zwingend die Umsetzung gängiger ISO Standards stehen, solange sichergestellt ist, dass die Compliance-Maßnahmen ernsthaft, kontinuierlich und unter Berücksichtigung der individuellen Risikoposition des Unternehmens umgesetzt werden.

Manchmal ist weniger eben mehr.

Zurück zur Übersicht